前回は「プログラム開発」と「プログラム変更」にかかわるIT全般統制を取り上げた。今回はPCAOB(公開会社会計監視委員会)の四つのカテゴリーのうち、「コンピュータ運用」と「プログラムとデータへのアクセス」にかかわるIT全般統制について解説する。
IBM ビジネスコンサルティング サービス
次に、コンピュータ運用とプログラムとデータへのアクセスにかかわるIT全般統制について解説します。COBITの「デリバリとサポート(DS)」ドメインは、「サービスの提供、セキュリティー管理や継続的なサービス、ユーザーサポート、データ管理や設備管理などを通じて、要求されたサービスを提供する」ことを目的としたプロセス群です。
すなわち、「ビジネスに貢献するために、サービスレベルを満たした情報システムのサービスを、信頼性と安全性、継続性を持って効率的に提供すること」が目的であり、そのような目的の達成を阻害するリスクをコントロールすることが、コンピュータ運用とプログラムとデータへのアクセスにおけるIT全般統制と考えられます。
では、コンピュータ運用とプログラムとデータへのアクセスにおけるIT全般統制が整備されていない場合に、財務報告の信頼性にどのような影響を与えるでしょうか。その具体例を以下に示します。
・ネットワーク障害のため、取引先からの情報が転送できずに、売り上げ計上に大きな漏れが発生した。そのため財務報告の数字が正確でなかった。
・財務情報データベースに対するアクセス管理が十分でなく、決算の数字が公表前に漏れてしまった。
・発注・支払いデータベースに社内の悪意のある者がアクセスし、データの改ざんが行われていた。そのため、財務報告の数字の信頼性が失われてしまった。
・サーバーのハードウエア障害に対する適切な予防措置をとっておらず、再発してしまい、決算日にシステムが稼働せずに、財務上の決算に関する数字を確定できなかった。
・古いデータを削除するオペレーションを誤って実行してしまい、当期の売り上げデータが削除されてしまった。結果的に今期の売り上げの数字が不正確なものになってしまった。
・第三者に委託している給与計算システムが障害で停止してしまい、今期の人件費の計上が遅れてしまった。
・パソコンのウイルスチェックのパターン・ファイルが更新されていなかったため、コンピュータ・ウイルスによって、決算の数字が公示前にインターネット上で公開されてしまった。
・適切なバックアップをとっていなかったため、ハードディスク障害からの修復に多大な時間を要し、決算報告日時に影響を与えた。
これらは、いずれもコンピュータ運用とプログラムとデータへのアクセスにおけるIT全般統制が整備できていないために引き起こされた問題です。運用で発生する障害は、財務報告の信頼性に影響を与えるだけでなく、個人情報の漏えいや組織の機密情報の漏えい、業務停止による顧客や取引先への損害など、多大な影響を与えるため、IT全般統制を確実に整備する必要があります。
次に、コンピュータ運用とプログラムとデータへのアクセスに対するIT全般統制をどのように整備するのかをCOBITに沿って解説していきます。
(1)「財務報告システムの要件を満たすとともに、サービスの質を測るパフォーマンス水準に関する共通な理解をもたらすような方法でサービスレベルが定義され、管理されているという合理的な保障を提供する」ために、財務報告システムの要件をサポートするためのサービスレベルを定義し、そのレベルを達成するようにサービスが提供されている必要があります。そのためには、以下の取り組みが必要です。
・財務報告システムのサービスにかかわる要件が明確に定義され合意されていること。
・この要件に基づいて、サービスレベルが定義されていること。
・サービスレベルを達成できるようにサービス提供者はサービスを提供していること。
・サービスの結果を報告書としてまとめ、業務部門と提供部門で必要な改善を実施していること。
(2)「サードパーティーのサービスが安全で、正確で、利用可能であり、処理の完全性をサポートしているとともに、外部委託契約により適切に定義されているという合理的な保障を提供する」ために、サードパーティーの選定が、組織の選定基準に従い実施されていることや、サービスレベルを含め、適切な契約をサードパーティーと結んでいる必要があります。
(3)「データの不正使用、開示、変更、破損または損失を防ぐために、財務報告システムおよびサブシステムが適切に保護されていることを合理的な保障を提供する」ために、以下の取り組みが必要です。
・組織のセキュリティー・ポリシーを整備し、経営者が承認していること。
・セキュリティー・ポリシーに準拠したセキュリティー基準やマネジメント・システムが整備されていること。
・IT戦略全体の一部としてITセキュリティー計画が存在し、定期的に見直されていること。
・財務にかかわるシステムの取引の正当性を確保するため、システム利用者に対する認証手続きが存在していること。
・認証やアクセス管理のための手続きが存在し、これに従っていること。例えば、ユーザーIDの共有禁止、パスワードの作成ルールや定期的な更新などが挙げられる。
・ユーザーIDの申請や発行・削除などに関する手続きが存在し、これに従っていること
・アクセス権に関して、職務上必要な機能に限定されており、かつ定期的に見直すプロセスが存在すること。
・外部と接続しているネットワークにはファイアウオールなどの不正アクセスを防ぐ適切な統制が存在すること。
・セキュリティー管理者は定期的にセキュリティー行為に関するモニタリングや記録を行い、違反を経営者に報告すること。
・アクセス権の付与に関して適切な職務の分離が行われていること。
・施設へのアクセスは権限ある者に限定されること。
(4)「セキュリティー、処理、および可用性に関連するすべてのIT構成要素が十分に保護されており、これが不正の変更をすべて防止するとともに、現在の構成の検証と記録を支援することの合理的な保障を提供する」ために、以下の取り組みが必要です。
・無許可のソフトウエアの使用を禁止すること。
・不正アクセスを防止するためにインフラ基盤が整備されていること。
・コンピュータ・ウイルスに対する対策を整備すること。
・財務報告システムにかかわるアプリケーションとデータに関する構成管理手続きが整備され、それを順守していること。
(5)「問題または事故が適切に対応され、記録され、解決され、または適切な解決に向けて調査が行われている合理的な保障を提供する」ために、組織の問題管理手続きが存在し、問題が記録され、根本原因まで追究され、適切な再発防止策を策定するまで、トラッキングされる必要があります。
(6)「記録・処理・報告されたデータが、更新および保存プロセスを通じて完全で、正確で有効であり続ける合理的な保証を提供する」ために、次の取り組みが必要です。
・データおよび報告書出力の取り扱い、配布、保存に関する方針と手続きが存在すること。
・保管中や転送中の機密情報が不正アクセスから保護されていること。
・重要な情報は暗号化されていること。また、暗号化の鍵や電子証明の取り扱い手続きが整備されていること。
・財務報告にかかわるデータやプログラムの定期的なバックアップを取得しており、バックアップからの復旧プロセスが存在していること。
(7)「承認されたプログラムが計画通りに実行され、スケジュール化された処理の逸脱が識別され、調査される合理的な保証を提供する」ために、オペレーション手続きが存在し、それに順守した運用が行われている必要があります。そのためには、以下の取り組みが必要です。
・オペレーションの標準手続きが存在すること。
・システムイベントやオペレーションのログを記録・保存すること。また、必要に応じて分析できること。
・表計算ソフトを活用したツールを含むEUC(エンドユーザー・コンピューティング)に関するガイドラインが存在し、ユーザー部門においてもデータのアクセス管理やバックアップなどが実施されていること。
以上、IT全般統制の各領域について解説してきましたが、特別なことが要求されているのではなく、どれもシステム開発や運用における「当たり前のこと」であるといえます。しかし、経営環境の変化や組織の統廃合、ITインフラの急激な革新、システムの業務委託など、様々な要因のために、昨今「当たり前のこと」が当たり前に実施できなくなる状況が起こっています。また、新しいサービスやITの革新、法律改正などにより、必ずしも「昨日の当たり前」が「今日の当たり前」ではなくなってきています。今日の経営環境の中で、組織のITにとっての「当たり前」をいつも見直し、「当たり前を当たり前に愚直に実施する」ことが、IT全般統制を整備する第一歩と考えます。
|
出典:「プロジェクト現場から見た内部統制~実務者が語る日本版SOX法対策」(IBM ビジネスコンサルティング サービス著,日経情報ストラテジー編集,日経BP社刊)より(詳細情報はこちら)
